Praxistest: Zyxel USG60W
Integrierte Security Appliance
IT-Sicherheit ist auch für kleine und mittelständische Unternehmen (KMU) eine unverzichtbare Notwendigkeit. Um den heutigen Bedrohungen aus dem Internet wirksam zu begegnen, sind Router erforderlich, die zusätzlich zur Firewall mit erweiterten Sicherheitsfunktionen ausgestattet sind - wie die Geräte aus der USG-Serie von Zyxel.
Für diese Gattung von Sicherheitsgeräten hat das Marktforschungsunternehmen IDC im Jahr 2004 die Bezeichnung UTM ("Unified Threat Management") geschaffen. Dabei handelt es sich um Appliances, die neben der Firewall-Funktion weitere Sicherheits-Features wie Virenschutz, Spam-Schutz, Web-Filter und Intrusion Prevention System (IPS) in einem Gerät vereinen. Vor allem im Enterprise-Umfeld ist in diesem Zusammenhang von "NGFW" (Next-Generation Firewall) die Rede - ein Begriff, der vom Marktforscher-Konkurrenten Gartner stammt.
Modellvielfalt
In die UTM/NGFW-Kategorie fallen die neuen Lösungen aus der "Unified Security Gateway"-(USG-)Familie des Netzwerkspezialisten Zyxel. Dabei handelt es sich um integrierte Security Appliances, die eine ganze Reihe von Netzwerk- und Sicherheitsfunktionen zu einem Paket kombinieren. Das Angebot umfasst verschiedene Modelle für kleine und mittelständische Unternehmen mit fünf bis 500 Benutzern in den Kategorien "Performance", "Advanced" und "Extreme". Manche Modelle aus der Performance-Serie sind mit integriertem WLAN erhältlich. Genau solch ein Gerät haben wir uns näher angesehen - und zwar das Modell USG60W, das zum Basispreis von 515 Euro erhältlich ist.
Dieses Modell, das sich laut Hersteller für Umgebungen mit zehn bis 25 Benutzern eignet, ist mit einem eingebauten WLAN Access Point (AP) versehen. Technisch unterstützt dieser mit 802.11a/b/g/n die im Office-Umfeld nach wie vor relevanten Standards. Durch "Dual Radio" kann das Gerät außerdem gleichzeitig im 2,4- und 5-GHz-Band funken und so Endgeräte in beiden Frequenzbändern simultan bedienen.
Sowohl für das USG60W als auch für seine Kollegen aus der UTM-Familie, die kein WLAN an Bord haben, sieht der Hersteller die Möglichkeit zur Anbindung und Steuerung externer APs vor. Passende Funkhardware etwa im "Rauchmelder"-Design zur Deckenmontage innerhalb von Gebäuden sowie zum Outdoor-Einsatz bietet Zyxel selbst in zahlreichen Varianten an. Über das CAPWAP-Protokoll (Control and Provisioning of Wireless Access Points) kann das dann als Controller agierende USG60W bis zu zehn dieser zusätzlichen APs von zentraler Stelle aus verwalten. Bei mehr als zwei auf diese Weise verwalteten APs muss der Anwender allerdings ein zusätzliches Lizenzpaket erwerben, das mit 336 Euro zu Buche schlägt.
Netzwerk-Multi
Generell setzt Zyxel bei der Netzwerkfunktionalität auf Vielfalt. Neben vier Gigabit-Ethernet-Ports für LAN-Verbindungen ist das USG60W mit zwei dedizierten Ports zur WAN-Anbindung ausgestattet, die Load Balancing beherrschen. Bei gleichzeitiger Nutzung von zwei Internet-Verbindungen lassen sich darüber der Durchsatz von Übertragungen sowie die Ausfallsicherheit steigern. Load-Balancing-Regeln bewirken, dass bestimmte Arten von Übertragungen wie VoIP bevorzugt über eine der beiden WAN-Verbindungen erfolgen. Sollte eine Leitung ausfallen, wickelt das Gerät Übertragungen automatisch über die verbleibende ab.
Kombiniert mit einem 3G-Surf-Stick (die 4G-Unterstützung soll in einer späteren Firmware-Version folgen), der in einen seiner beiden USB-Ports eingesteckt ist, kann das USG60W die WAN-Anbindung außerdem über UMTS realisieren - wahlweise als alleinige Internet-Verbindung oder zum Fallback, falls die eigentliche WAN-Konnektivität per Ethernet ausfällt. Auf der Zyxel-Website informiert der Hersteller anhand einer Excel-Liste darüber, welche USB-Sticks dafür infrage kommen. Als "getestet" aufgeführt sind dort aber einige wenige Modelle von Huawei und ZTE. Welcher Dongle in der Praxis tatsächlich funktioniert, zeigt sich damit oft nur durch Ausprobieren: Mit dem testweise verwendeten Vodafone-Stick K3765 klappte es auf Anhieb, mit dem vom USG60W ebenfalls als "Huawei Generic Card" erkannten K3715 hingegen nicht.
Als Spezialist für den Netzwerkzugang kommt das USG60W auch mit VPN-Verbindungen zurecht. Bei Verwendung von IPSec lassen sich diese wahlweise für Site-zu-Site-Zwecke oder zum Remote-Zugriff nutzen. LT2P- und SSL-VPNs wiederum gestatten mobilen und stationären Clients die Option zum sicheren Fernzugriff. Die Appliance unterstützt bis zu zwölf gleichzeitige SSL-VPN-Nutzer und maximal 20 parallele IPSec-VPN-Tunnel (die größeren Varianten der USG-Gerätefamilie erlauben mehr gleichzeitige Verbindungen). Lizenzen für zwei SSL-VPNs sind im Lieferumfang enthalten, fünf weitere Lizenzen kosten knapp 52 Euro.
Unter einem Dach
Neben einer SPI-Firewall (Stateful Packet Inspection) gehören zu den serienmäßigen Schutzmechanismen des Geräts auch Profile zur Erkennung und Abwehr von Protokollanomalien wie beispielsweise Port Scans und Flood-Attacken. Sicherheitsrichtlinien, die ein- und ausgehende Zugriffe für bestimmte Benutzer, Dienste oder Zeiten regeln, sind ebenfalls vorhanden.
Zyxel vermarktet das USG60W jedoch als UTM-Lösung, was darauf hindeutet, dass es weitere Sicherheitsfunktionen gibt. Dafür hat sich der Hersteller Partner ins Boot geholt, die auf ihrem jeweiligen Gebiet Spezialisten sind. Zum Schutz vor Viren und anderen Schädlingen etwa setzt Zyxel auf die "Safestream II"-Technik von Kaspersky. Da die zugehörige Engine ihre Arbeit in Echtzeit auf dem USG60W verrichtet, kann die Security Appliance Schädlinge direkt herausfischen und blockieren, noch ehe diese zu den Servern und Clients im lokalen Netzwerk gelangen.
Gleichermaßen gilt dieses Prinzip für die anderen vom Gerät unterstützten Sicherheitsmerkmale, wenngleich dafür andere Partner ihre Technologien bereitstellen: Beim Spam-Schutz sowie der Filterung unerwünschter Inhalte vertraut Zyxel auf die Cloud-basierenden Dienste von Cyren. Zur Erkennung und Abwehr unerlaubter Zugriffe (Intrusion Detection and Prevention - IDP) sowie zur Verwaltung erlaubter Anwendungen nutzt Zyxel Signaturen, die von Trend Micro stammen.
Schutzlizenzen
Zur Nutzung dieser Schutzvorrichtungen benötigt der Anwender Lizenzen, die es praktischerweise gleich von Zyxel selbst gibt. Das beste Preis-Leistungs-Verhältnis ergibt sich beim Erwerb des "UTM-Bundles" gleich beim Kauf des USG60W, das einjährige Lizenzen für alle Bereiche enthält und einen Aufpreis von lediglich 121 Euro kostet. Um sich erst einmal ein Bild vom Ganzen machen zu können, spendiert Zyxel dem Käufer des USG60W ohnehin einen kostenfreien Probemonat. Die spätere Verlängerung kann flexibel erfolgen: Wer will, greift dann anstatt zum Komplettpaket mit einjähriger Laufzeit, das für 319 Euro erhältlich ist, zu ein- oder zweijährigen Lizenzen für einzelne gewünschte Bereiche.
Einer der ersten Schritte nach der Anmeldung bei der Web-Verwaltung des USG60W ist die Einrichtung der Lizenzierung der UTM-Dienste. Der entsprechende Eintrag befindet sich gleich an oberster Stelle im Konfigurationsmenü: Nach Erstellung eines Kontos bei der Website "myzyxel.com" und Registrierung des Geräts ließen sich im Test darüber die Abonnements für die vier UTM-Bereiche (Anti-Virus, Anti-Spam, Content-Filter und IDP) per Mausklick freischalten. Damit unser Proband den aktiven Abostatus erkannte, war ein Neustart des Geräts erforderlich. Danach informiert den Administrator bereits die Dashboard-Übersicht der Web-Verwaltung darüber, in wie viel Tagen diese Abos ablaufen.
Bei der Verwaltung seiner Security Appliance setzt Zyxel ebenfalls auf das "All in One"-Prinzip. Denn alle Bereiche - also nicht nur Netzwerkfunktionen, sondern auch die UTM-Sicherheitsmerkmale - verwaltet das System gemeinsam auf einheitliche Weise. Fortgeschrittenen Administratoren steht dafür eine textbasierende Konsole zur Verfügung, die allerdings eine lokal installierte Java Virtual Machine voraussetzt. Die komfortable grafische Web-Verwaltungsoberfläche hingegen kommt ohne dieses potenzielle Sicherheits-risiko aus.
Eindrücke
In unserem Praxistest machte das für 636 Euro inklusive UTM-Bundle erhältliche USG60W eine gute Figur. Dazu tragen neben der großen Funktionsvielfalt viele angenehme Kleinigkeiten bei: Beispielsweise verrichtet das Gerät seine Arbeit ohne lärmenden Lüfter, was gerade für Büros sinnvoll ist, die über keinen separaten IT-Raum verfügen. Der geringe Strombedarf von laut Hersteller höchstens 28 W (unser Energieverbrauchs-Messgerät zeigte meist sogar nur rund 10 W an) ermöglicht einen kostengünstigen Dauerbetrieb.
Wer will, kann die Sprache der Web-Verwaltungsoberfläche von Englisch auf Deutsch umstellen. Einen positiven Eindruck hinterlässt die nahtlose Integration der UTM-Funktion sowohl in die eigentliche Web-Verwaltungsoberfläche als auch in die Sicherheitsregeln der Security Appliance. Sind die UTM-Abos einmal aktiv, braucht sich der Administrator nicht mehr darum zu kümmern, dass die jeweiligen Signaturen aktuell sind. Zyxels Ansatz, Schutzfunktionen namhafter Partner direkt auf dem Internet-Gateway zu implementieren und auf diese Weise die Sicherheit sozusagen gleich am "Internet-Einfallstor" zu verbessern, hat Charme und gefällt. Schade ist lediglich, dass die SSL-Inspection-Funktion, die auch verschlüsselten Datenverkehr auf Schädlinge und Anomalien untersucht, noch nicht bei dem von uns getesteten USG60W, sondern erst ab dem nächstgrößeren Modell USG110 zur Verfügung steht.
Der Autor auf LANline.de: Eric Tierling
Info: Zyxel DeutschlandTel.: 02405/6909-0Web: www.zyxel.de
Lesen Sie mehr zum Thema
